최근 개인정보 유출과 침해 사고가 많이 발생하고 있다. 이런 상황에서 국내 보안을 맡은 KISA(한국 인터넷진흥원)은 어떤 노력을 하고 있을까? 이에 대해 개인정보 대응센터 김주영 단장이 인터뷰를 통해 원인과 현황, 대응법을 설명했다.

개인정보유출이란 개인정보처리자가 통제를 상실하거나 권한없는 자의 접근을 허용한 경우라고 정의할 수 있다. 이제까지 한국을 포함한 전세계에서 개인정보유출사고가 매년 매순간 벌어지고 있다. 국내에서 작년은 유출신고가 40건 발생했다. 한번 유출되면 유통이 되고 노출이 되는데 KISA가 이것을 탐지하고 삭제하는 조치를 하고 있다. 작년에도 6만건 정도를 KISA가 삭제한 바 있다.

유출원인 대부분은 국내외를 막론하고 해킹으로 단순사고가 아니라 범죄에 가까운 형태이다. 구체적으로 보면 웹셀 업로드, 파라미터 변조, 지능형지속공격 등이 있으며 SQL 인젝션 같은 경우는 ‘여기어때’에서 이 수법에 당한 바 있다.

해킹을 제외하면 내부직원의 악의적인 유출, 개인정보 미파기, 등이 대표적인 유출사례이다. 약국 폐업시 처방전을 창고에 방치하다 야산에 버리게 되어 유출되는 사례가 대표적이다. 협력업체 직원이 유출시켜 대출업자에게 판매한 사례도 있다. 이 밖에도 메일정보 오발송, 보안조치 미흡으로 인한 기술적 실수로 노출되는 경우도 있다.

KISA는 개인정보 침해신고 접수를 받고 있다. 이용자 동의 없는 개인정보 수집, 기술적 관리조치 미흡, 주민번호 등 타인정보 훼손 침해 사례가 가장 많은 편이다. 예를 들어 병원개업 과정에서 이전 진료 환자 정보를 무단으로 사용해 문자를 전송한 경우도 있다.

김 단장은 사고를 원천적으로 막을 수는 없다고 강조했다. 유출이 된다고 생각하고 이것을 방지하고 조치하기 위한 노력을 지속해야 한다고 설명했다. KISA는 이런 사례를 막기 위한 최소한의 조치로 법에 의무화된 조치를 제대로 수행하는 노력이 필요하다고 주장했다.

김주영 단장은 실제 현장에서 급히 개발하고 서비스하려다 보니 이런 조치가 잘 지켜지지 않아서 사고가 발생하는 점이 안타깝다고 밝혔다. 여기어때의 경우도 급히 구축한 서비스가 급속히 인기를 얻었을 때 제대로 노력하지 않은 점이 사고로 이어지게 되었다는 것이다.

개인정보 안정성 확보를 위한 조치는 내부 관리계획을 수립하고 시행하는 것이 중요하다. 접근통제 및 권한 제한을 제대로 하고 관리용 단말기 안전조치, 개인정보 암호화 하는 등 안전조치를 제대로 하는 기본이 현장에서 잘 안지켜지는 것이 아쉽다. 최소한의 조치임에도 현실에서는 못 미치고 있는 것이다.

KISA는 사고 예방을 위한 대상을 설정한 기획점검을 한다. 또한 서면으로 점검하기도 하고 유출사고 발생 시 특별점검을 나가서 조치하는 등이 진행되고 있다. 또한 개인정보 노출을 탐지 삭제하고 불법 거래도 찾아서 차단하고 있다.

김 단장은 웹사이트 들이 법에서 요구하는 사항만 제대로 충족해도 기본적 사고예방을 할 수 있다고 말했다. 따라서 웹사이트 스마트앱 법규준수 등 점검 개선 등을 하고 있다. 또한 사용자의 적극적 권리행사를 지원하고 개인정보 노출 예방교육과 업체에게 노출 재발방지 기술 지원 등을 실시하고 있다.

현행 제도에서의 문제점도 있다. 유출사고가 발생했을 때 KISA의 초동조사 부분은 아직 법에는 없고 시행령에만 있기에 법적 근거가 확실하지 않으며 구체적 해석을 안하고 있는 상태이다. 조사권 자체가 중대한 침해사고에 대해서 하는 상황이지만 강제력은 없는 상황이기 때문이다.

베타뉴스 안병도 (catchrod@betanews.net)
Copyrights ⓒ BetaNews.net

• • 목록
  • 위로